İMHA POLİTİKASI

Anasayfa
Sayfalar
İMHA POLİTİKASI

İMHA POLİTİKASI

AKYOL TİC. DEĞİRMEN LEV. LTD. ŞTİ.

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

AMAÇ

İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca yükümlülüklerimizi yerine getirmek ve veri sahiplerinin kişisel verilerinin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile silme, yok etme ve anonim hale getirme süreçleri hakkında bilgilendirmek amacıyla veri sorumlusu sıfatıyla AKYOL TİC. DEĞİRMEN LEV.LTD. ŞTİ. (“Şirket”) tarafından hazırlanmıştır.

TANIMLAR

Kanun/KVKK: Kişisel Verilerin Korunması Kanunu

Yönetmelik: 28.10.2017 tarihli Resmi Gazete’de yayımlnana Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik anlamına gelmektedir.

Kurul: Kişisel Verileri Koruma Kurulu

Kurum: Kişisel Verileri Koruma Kurumu

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Veri Sahibi/İlgili Kişi: 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda tanımlanan kişisel verisi işlenen gerçek kişi.

Kişisel Veri İşleme Envanteri : Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri anlamına gelmektedir.

Çalışan : Şirket ve iştirakleri ile iş sözleşmesi veya vekalet sözleşmesine bağlı olarak işçi-işveren benzeri ilişkisi olan gerçek kişi anlamına gelmektedir.

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

İlgili Kullanıcı/Alıcı Grubu: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.

Özel Nitelikli Kişisel Veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri anlamına gelmektedir.

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

Elektronik Ortam : Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar anlamına gelmektedir.

Elektronik Olmayan Ortam : Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar anlamına gelmektedir.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

VERBİS: Veri Sorumluları Sicil Bilgi Sistemi

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

Kişisel Verilerin Silinmesi: Kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.

Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.

Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.

Periyodik İmha: Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

İLKELER

Şirket tarafından kişisel verilerin saklanması ve imhasında aşağıda yer alan ilkeler çerçevesinde hareket edilmektedir:

• Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde Kanun’a ve ilgili mevzuat hükümlerine, Kurul kararlarına ve işbu Politikaya tamamen uygun hareket edilmektedir.

• Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm işlemler Şirket tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanmaktadır.

• Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı Şirket tarafından seçilmektedir. Ancak, İlgili Kişinin talebi halinde uygun yöntem gerekçesi açıklanarak seçilecektir.

• Kanun’un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler Şirket tarafından resen veya ilgili kişinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu hususta İlgili Kişi tarafından Şirket’e başvurulması halinde;

- Talepler en geç 30 (otuz) gün içerisinde cevaplandırılmaktadır,

- Talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilmekte ve üçüncü kişilerin gerekli işlemleri yapması sağlanmaktadır.

SORUMLULUK VE GÖREV DAĞILIMLARI

Şirketin tüm departmanları ve çalışanları, sorumlu departmanlarca işbu Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, departman çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve denetimi ile Kişisel Verilerin hukuka aykırı olarak işlenmesinin önlenmesi, Kişisel Verilere hukuka aykırı olarak erişilmesinin önlenmesi ve Kişisel Verilerin hukuka uygun bir şekilde saklanmasının sağlanması amacıyla Kişisel Veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu departmanlara aktif olarak destek vermektedir.

Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, departmanları ve görev tanımlarına ait dağılım aşağıda yer almaktadır.

UNVAN

DEPARTMAN

GÖREV

Genel Müdür	Genel Müdürlük	Çalışanların politikaya uygun hareket etmesinden sorumludur.
Veri Sorumlusu İrtibat Kişisi	Finans	Politika’nın hazırlanması, geliştirilmesi, yürütülmesi ile ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludur.
Bilgi İşlem	İnternet&Bilgisayar	Politika’nın uygulanmasında ihtiyaç duyulan teknik çözümerin sunulmasından sorumludur.
İnsan Kaynakları, Muhasebe, Satış-Pazarlama, Teknik Servis, Depo, IT, E-Ticaret	Diğer Departmanlar	Görevlerine uygun olarak işbu Politikanın yürütülmesinden sorumludur.

KİŞİSEL VERİLERİN SAKLANDIĞI ORTAMLAR

Şirket nezdinde saklanan kişisel veriler, ilgili verinin niteliğine ve hukuki yükümlülüklerimize uygun bir kayıt ortamında tutulur. Söz konusu kişisel veriler tüm güvenlik tedbirleri uygulanmak suretiyle aşağıda yer almakta olan ortamlarda saklanmaktadır.

ELEKTRONİK ORTAMLAR

ELEKTRONİK OLMAYAN ORTAMLAR

Kişisel bilgisayarlar (dizüstü, masaüstü)

Mobil Cihazlar (telefon vs)

Optik diskler

Yazıcılar, tarayıcılar, fotokopi makineleri

Kameralar

Çıkarılabilir ve taşınabilir bellekler

Sunucular

Yazılımlar

Bilgi güvenliği cihazları

Kağıtlar

Yazılı ve basılı ortamlar

Görsel kayıtlar

Manuel veri kayıt sistemleri

Kişisel verilerin saklanması için kullanılan kayıt ortamları genel itibariyle yukarıda sayılanlardır. Ancak, bir kısım veriler sahip oldukları özel nitelikler ya da hukuki yükümlülüklerimiz nedeniyle burada gösterilen ortamlardan farklı bir ortamda tutulabilir. Şirket veri sorumlusu sıfatıyla hareket etmekte ve kişisel verileri Kanun’a, Kişisel Verilerin İşlenmesi ve Korunması Politikası’na ve işbu Kişisel Veri Saklama ve İmha Politikası’na uygun olarak işlemek ve korumaktadır

KİŞİSEL VERİLERİN SAKLANMASINI GEREKTİREN HUKUKİ SEBEPLER

Şirkette, faaliyetler çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar ve kanun ile ilgili mevzuat kapsamında muhafaza edilir. Bu kapsamda saklamayı gerektiren sebepler aşağıda yer almaktadır.

• Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,

• Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması

• Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla şirketin meşru menfaatleri için saklanmasının zorunlu olması

• Kişisel verilerin şirketin herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması

• Kanun ve mevzuatlarda kişisel verilerin saklanmasının açıkça öngörülmesi

• Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması

KİŞİSEL VERİ İŞLEME ŞARTLARINA UYGUNLUK

AKYOL TİC. DEĞİRMEN LEV. LTD. ŞTİ. kişisel veri işleme faaliyetlerini, KVK Kanunu’nun 5. maddesinde ortaya konulan veri işleme şartlarına uygun olarak yürütmektedir. Bu kapsamda, yürütülen kişisel veri işleme faaliyetleri aşağıda sıralanan kişisel veri işleme şartlarının varlığı halinde gerçekleştirilmektedir.

• Kişisel Veri Sahibinin Açık Rızasının Varlığı

Veri sahibinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak onay vermesi halinde, AKYOL tarafından kişisel veri işleme faaliyeti yürütülür.

• Kişisel Veri İşleme Faaliyetinin Kanunlarda Açıkça Öngörülmüş Olması

Kişisel veri işleme faaliyetine ilişkin kanunlarda açıkça düzenleme bulunması durumunda, AKYOL tarafından, ilgili kanuni düzenleme ile sınırlı olarak kişisel veri işleme faaliyeti yürütülebilecektir.

• Fiili İmkansızlık Nedeniyle Veri Sahibinin Açık Rızasının Elde Edilememesi ve Kişisel Veri İşlemenin Zorunlu Olması

Kişisel veri sahibinin rızasını açıklayamadığı veya rızasına geçerlilik tanınmadığı hallerde, kişilerin hayat veya beden bütünlüğünün korunması için kişisel verilerin işlenmesi zorunlu ise, AKYOL tarafından bu kapsamda veri işleme faaliyeti yürütülür.

• Kişisel Veri İşleme Faaliyetinin Bir Sözleşmenin Kurulması veya İfasıyla Doğrudan Doğruya İlgili Olması

Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olan hallerde, sözleşmenin taraflarına ait kişisel verilerin işlenmesi gerekli ise AKYOL tarafından veri işleme faaliyeti yürütülür.

• AKYOL’un Hukuki Yükümlülüğünü Yerine Getirmesi için Kişisel Veri İşleme Faaliyeti Yürütülmesinin Zorunlu Olması

AKYOL’un hukuki yükümlülüğünün söz konusu olması durumunda, hukuki yükümlülüğünün yerine getirilmesi için kişisel veri işleme faaliyeti yürütülür.

• Veri Sahibinin Kişisel Verisini Alenileştirmesi

AKYOL tarafından, ilgili kişinin kendisi tarafından alenileştirilen (herhangi bir şekilde kamuya açıklanan) kişisel veriler alenileştirilme amacına uygun olarak işlenir.

• Bir Hakkın Tesisi, Kullanılması veya Korunması için Veri İşlemenin Zorunlu Olması

Kişisel verilerin işlenmesinin bir hakkın tesisi, kullanılması veya korunması için zorunlu olması durumunda, AKYOL tarafından bu zorunluluk doğrultusunda kişisel veri işleme faaliyeti yürütülür.

• Veri Sahibinin Temel Hak ve Özgürlüklerine Zarar Vermemek Şartıyla Kişisel Veri İşleme Faaliyetinin Yürütülmesinin AKYOL’UN Meşru Menfaatleri için Zorunlu Olması

AKYOL’un meşru menfaatleri için, kişisel veri işlemenin zorunlu olması durumunda, veri sahibinin temel hak ve özgürlüklerine zarar verilmeyecek ise veri işleme faaliyeti yürütülebilecektir.

ÖZEL NİTELİKLİ KİŞİSEL VERİ İŞLEME ŞARTLARINA UYGUNLUK

AKYOL tarafından özel nitelikli kişisel veri işlemesinde öncelikle hassasiyetle veri işleme şartlarının var olup olmadığı tespit edilmekte, hukuka uygunluk şartının varlığından emin olunduktan sonra veri işleme faaliyeti yürütülmektedir.

Özel nitelikli kişisel veriler AKYOL tarafından, KVK Kurulu tarafından belirlenen yeterli önlemlerin alınması şartıyla aşağıdaki durumlarda işlenebilmektedir.

Kişisel Sağlık Verilerinin İşlenmesi

AKYOL tarafından kişisel sağlık verileri, aşağıda sıralanan şartlardan birinin varlığı halinde işlenebilmektedir.

• Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından

• Kişisel veri sahibinin açık rızasının varlığı,

Sağlık ve Cinsel Hayat Dışındaki Özel Nitelikli Kişisel Verilerin İşlenmesi

AKYOL tarafından, sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançları, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri); veri sahibinin açık rıza vermesi veya kanunlarda öngörülen hallerde işlenebilmektedir.

SAKLAMAYI GEREKTİREN İŞLEME AMAÇLARI

Şirket aşağıdakiler dahil olmak ancak bununla sınırlı olmamak üzere, ilgili kişinin veya ilgili kişi tarafından belirtilen üçüncü tarafların kişisel verilerini çeşitli amaçlarla işleyebilir:

• İnsan kaynakları süreçlerini yürütmek

• Kurumsal iletişimi sağlamak

• Şirket güvenliğini sağlamak

• İstatistiksel çalışmalar yapabilmek

• İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek

• Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak

• Şirket ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak

• Yasal raporlamalar yapmak

• Çağrı merkezi süreçlerini yönetmek

• İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğünü yerine getirmek

• Şirket hukuk işlerinin icrası/takibini yapmak

İMHAYI GEREKTİREN SEBEPLERE İLİŞKİN AÇIKLAMALAR

Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, Şirket tarafından resen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir:

Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya yürürlükten kalkması sebebiyle gerekli olması hali,

Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,

Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,

Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,

İlgili kişinin, Kanun’un 11. maddesindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,

Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikayette bulunulması ve bu talebin Kurul tarafından uygun bulunması,

Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın olmaması.

SAKLAMA VE İMHA SÜRELERİ

Kişisel verilerin saklanma süresi belirlenirken, yasal düzenlemelerin getirdiği yükümlülükler ve kişisel verilerin işlenme amaçları dikkate alınmaktadır. Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve Şirket’in belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin belirlenmesinde, bahsi geçen hakkın ileri sürülebilmesine yönelik zamanaşımı süreleri ile zamanaşımı sürelerinin geçmesine rağmen daha önce aynı konularda Şirket’e yöneltilen talepler dikkate alınmaktadır. Bu süreler sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir. Kurum tarafından aksine bir karar alınmadıkça, kişisel verileri silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı Şirket tarafından seçilir. Veri sahibi Şirket’e başvurarak kendisine ait kişisel verilerin silinmesini, yok edilmesini veya anonim hale getirilmesini talep ettiğinde, ilgili talep kişisel verilerin işleme şartlarının ortadan kalkıp kalkmadığına göre değerlendirilir. Kişisel verilerin işleme şartları tamamen ortadan kalkmışsa Şirket talebe konu kişisel verileri imha eder. Kişisel verilerin işleme şartları tamamı ortadan kalkmamışsa ilgili talep gerekçesi açıklanarak reddedilir. Talepler en geç 30 gün içinde sonuçlandırılarak ilgili kişiye bildirilir.

Verinin saklanmasının Kanun’un 5. ve 6. maddelerinde öngörülmüş olan istisnalardan hangisi/hangileri kapsamında değerlendirilebileceği tespit edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürelerin sona ermesi halinde veriler silinir, yok edilir ya da anonim hale getirilir.

Saklama süresi dolan kişisel veriler, yasal düzenlemelerde ve işbu Politika’da belirlenen imha süreleri çerçevesinde, 6 (altı) aylık periyodlarla işbu Politika’da yer verilen usullere uygun olarak imha edilir. İmha işlemleri kayıt altına alınır ve kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır

Veri Sahibi

Veri Kategorisi

Veri Saklama Süresi

Çalışan

İşe alım evrakları ile Sosyal Güvenlik Kurumu’na gerçekleştirilen; hizmet süresine ve ücrete dair bildirimlere esas özlük verileri ve bunların dışında kalan özlük verileri

Hukuki ilişki + 10 yıl

Çalışan

İşyeri Kişisel Sağlık Dosyası içeriğindeki veriler

Hukuki ilişki + 15 yıl

Çalışan Adayı

Çalışan adayına ait özgeçmiş ve işe başvuru formunda yer alan bilgiler

En fazla 2 yıl olmak üzere özgeçmişin güncelliğini kaybedeceği süre

Stajyer (Öğrenci)

Stajyere ait staj dosyasında yer alan bilgiler

Hukuki ilişki + 10 yıl

İş Ortağı/Çözüm

Ortağı/Danışman

Ticari ilişkinin yürütümüne dair kimlik bilgisi, iletişim bilgisi, finansal bilgiler, İş Ortağı/Çözüm Ortağı/Danışman çalışanı verileri

Hukuki ilişki + 10 yıl

Müşteri

Müşteri’ye ait ad, soyad, T.C.K.N., iletişim bilgileri, ödeme bilgileri ve yöntemleri, ürün/hizmet tercihleri, ticari işlem geçmişi.

Hukuki ilişki + 10 yıl

Şirketin İşbirliği İçinde Olduğu Kurum/Firmalar

(Tedarikçi, Fason Üretici)

Ticari ilişkinin yürütülmesine ilişkin kimlik bilgisi, iletişim bilgisi, finansal bilgiler, Şirketin İşbirliği İçinde Olduğu Kurum/Firma çalışanı verileri

Hukuki ilişki + 10 yıl

Ziyaretçi

Üretim tesislerimizde fiziki mekana girişte alınan Ziyaretçi'ye ait ad, soyad, iletişim bilgileri, T.C.K.N.

10 yıl

Ziyaretçi

Kamera kayıtları

12 gün

İnternet Sitesi

Ziyaretçisi

İnternet sitesi ziyaretçisine ait ad, soyad, e-posta adresi, gezinme hareketleri bilgileri

2 yıl

Şirket’in ilgili kişisel veriyi kullanma amacı sona ermedi ise, ilgili mevzuat gereği ilgili kişisel veri için öngörülen saklama süresi yukarıdaki tabloda yer alan sürelerden fazla ise veya ilgili konuya ilişkin dava zamanaşımı süresi kişisel verinin tabloda yer alan sürelerden fazla saklanmasını gerektiriyorsa, yukarıdaki tabloda yer alan süreler uygulanmayabilecektir. Bu halde kullanım amacı, özel mevzuat veya dava zamanaşımı süresinden hangisi daha sonra sona eriyor ise, o süre uygulanacaktır.

TEKNİK TEDBİRLER

Şirket tarafından, işlediği kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıdadır:

• Kurulan sistemler kapsamında gerekli iç kontrolleri yapar

• Kurulan sistemler kapsamında bilgi teknolojileri risk değerlendirmesi ve iş etki analizinin gerçekleştirilmesi süreçlerini yürütür

• Verilerin şirket dışına sızmasını engelleyecek veyahut gözlemleyecek teknik altyapının temin edilmesini ve ilgili matrislerin oluşturulmasını sağlar

• Düzenli olarak ve ihtiyaç oluştuğunda sızma testi hizmeti alarak sistem zafiyetlerinin kontrolünü sağlar

• Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişim yetkilerinin kontrol altında tutulmasını sağlar

• Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.

• Şirket içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.

• Özel Nitelikli Kişisel Veri işleme süreçlerinde yer alan çalışanlara yönelik Özel Nitelikli Kişisel Veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.

• Şirket, silinen Kişisel Verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.

• Kişisel verilerin yok edilmesi geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde sağlanır

• Kanun’un 12. maddesi uyarınca, kişisel verilerin saklandığı her türlü dijital ortam, bilgi güvenliği gereksinimlerini sağlayacak şekilde şifreli veyahut kriptografik yöntemler ile korunur.

• Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.

İDARİ TEDBİRLER

Şirket tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıdadır:

• Saklanan kişisel verilere Şirket içi erişimi iş tanımı gereği erişmesi gerekli personel ile sınırlandırır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır.

• İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.

• Kişisel verilerin paylaşılması ile ilgili olarak, kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin çerçeve sözleşme imzalar yahut mevcut sözleşmesine eklenen hükümler ile veri güvenliğini sağlar.

• Kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve personeline kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimleri verir.

• Kendi tüzel kişiliği nezdinde Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderir.

• Veri Sahibi Başvuru Prosedürü hazırlanmıştır.

• Şirket tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri ve KVKK ve ilgili mevzuata uygun davranacaklarına ilişkin taahhütnameler imzalatılmaktadır.

KİŞİSEL VERİLERİ İMHA YÖNTEMLERİ

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda Kişisel Veriler, Şirket tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.

KİŞİSEL VERİLERİN SİLİNMESİ

Kişisel veriler aşağıda belirtilen yöntemlerle silinir.

Veri Kayıt Ortamı	Açıklama
Sunucularda Yer Alan Kişisel Veriler	Sunucularda yer alan Kişisel V erilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Elektronik Ortamda Yer Alan Kişisel Veriler	Elektronik ortamda yer alan Kişisel Verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel Ortamda Yer Alan Kişisel Veriler	Fiziksel ortamda tutulan Kişisel V erilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/ boyanarak/ silinerek karartma işlemi de uygulanır.
Taşınabilir Medyada Bulunan Kişisel Veriler	Flash tabanlı saklama ortamlarında tutulan Kişisel Verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

KİŞİSEL VERİLERİN YOK EDİLMESİ

Kişisel Veriler aşağıda belirtilen yöntemlerle yok edilir:

Veri Kayıt Ortamı	Açıklama
Fiziksel Ortamda Yer Alan Kişisel Veriler	Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
Optik / Manyetik Medyada Yer Alan Kişisel Veriler	Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.

ANONİMLEŞTİRME YÖNTEMLERİ

Değişkenleri çıkarma	İlgili kişiye ait kişisel verilerin içerisinde yer alan ve ilgili kişiyi herhangi bir şekilde tespit etmeye yarayacak doğrudan tanımlayıcıların bir ya da bir kaçının çıkarılmasıdır.
Bölgesel gizleme	Kişisel verilerin toplu olarak anonim şekilde bulunduğu veri tablosu içinde istisna durumda olan veriye ilişkin ayırt edici nitelikte olabilecek bilgilerin silinmesi.
Genelleştirme	Birçok kişiye ait kişisel verinin bir araya getirilip, ayırt edici bilgileri kaldırılarak istatistiki veri haline getirilmesi işlemidir.
Veri karma ve bozma	Kişisel veri içerisindeki doğrudan ya da dolaylı tanımlayıcılar başka değerlerle karıştırılarak ya da bozularak ilgili kişi ile ilişkisi koparılır ve tanımlayıcı niteliklerini kaybetmeleri sağlanır.

SAKLAMA VE İMHA SÜRELERİ

Şirket tarafından kişisel verilerin saklama süresi belirlenirken; öncelikle yasal mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir. Aşağıda yer alan tabloda saklama ve imha süreleri yer almaktadır.

Kişisel Veri Kaynağı	Süre	Yasal Dayanak
Muhasebe ve Finansal İşlemlere İlişkin tüm Kayıtlar	10 Yıl	6102 Sayılı Kanun, 213 Sayılı Kanun
Çerezler ve Log Kayıtları	6 Ay – En Fazla 2 Yıl	5651 Sayılı İnternet Kanunu
Çevrim içi Ziyaretçilere İlişkin Trafik Bilgileri	2 Yıl	5651 Sayılı Kanun
Müşterilere İlişkin Kişisel Veriler	6563 Sayılı Kanun ve ilgili mevzuat çerçevesinde ise 3 yıl , Hukuki ilişki son erdikten sonra 10 Yıl.	6563 Sayılı Kanun, 6102 Sayılı Kanun, 6098 Sayılı Kanun, 213 Sayılı Kanun, 6502 Sayılı Kanun
Tedarikçilere İlişkin Kişisel Veriler	Hukuki ilişki sona erdikten sonra 10 Yıl	6102 Sayılı Kanun, 6098 Sayılı Kanun ve 213 Sayılı Kanun
Kişisel Verileri Koruma Kurulu İşlemleri	10 Yıl	KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası
Sözleşmeler	Sözleşmenin Sona Ermesinden İtibaren 10 Yıl	KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası
Kurum İletişim Faaliyetleri	Faaliyetin Sona Ermesinden İtibaren 10 Yıl	KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası
İnsan Kaynakları Süreçleri	Faaliyetin Sona Ermesinden İtibaren 10 Yıl	KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası
Donanım ve Yazılıma Erişim Süreçleri	2 Yıl	KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası
Ziyaretçi ve Toplantı Kullanıcıların Kaydı	Etkinliğin Sona ermesinden İtibaren 2 Yıl	KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası
Kamera Kayıtları	2 Yıl	KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası
İş Kanunu Kapsamında Saklanan Veriler (Örn. Kıdem tazminatı, ihbar tazminatı, kötüniyet tazminatı, eşit davranma ilkesine aykırılık tazminatına konu olabilecek bilgiler, bordro kayıtları, yıllık izin gün sayısı)	İş İlişkisinin sona ermesinden itibaren 10 Yıl	4857 Sayılı İş Kanunu ve İlgili Mevzuat
İş Kanunu Kapsamında Saklanan Özlük Dosyasına İlişkin Veriler	İş İlişkisinin sona ermesinden itibaren 10 Yıl	4857 Sayılı İş Kanunu ve İlgili Mevzuat / 6098 Sayılı Türk Borçlar Kanunu
İş Kanunu Kapsamında Saklanan Verilerden Sendikal Tazminata Konu Olabilecek Veriler (Örn: Performans kayıtları, disiplin cezaları, fesih evrakları)	İş İlişkisinin sona ermesinden itibaren 10 Yıl	6098 Sayılı Türk Borçlar Kanunu
İş Sağlığı ve Güvenliği Mevzuatı Kapsamında Toplanan Veriler (Örn: İşe giriş sağlık testleri, sağlık raporları, İSG Eğitimleri, İş Sağlığı ve Güvenliği faaliyetlerine ilişkin kayıtlar)	İş İlişkisinin sona ermesinden itibaren 15 Yıl	6331 Sayılı İş Sağlığı ve Güvenliği Kanunu, İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği
SGK Mevzuatı kapsamında tutulan veriler (Örn: İşe giriş bildirgeleri, pirim/hizmet belgeleri)	İş İlişkisinin sona ermesinden itibaren 10 Yıl	5510 Sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu ve İlgili Mevzuat
İş Kanunu Uyarınca: Çalışan ile ilgili Mahkeme/icra bilgi taleplerinin cevaplanması	İş İlişkisinin sona ermesinden itibaren 10 Yıl	4857 Sayılı İş Kanunu ve İlgili Mevzuat
Çalışan Erişim Kısıtlamaları – Active Directory İşlemleri	İş İlişkisinin sona ermesinden itibaren 10 Yıl	4857 Sayılı İş Kanunu ve İlgili Mevzuat
Şirket Ortakları ve Yönetim Kurulu Üyelerine ait Bilgiler (Örn: Huzur hakkı ve Kar payı ödemeleri)	10 Yıl	6102 Sayılı Türk Ticaret Kanunu
Şirket Ortakları ve Yönetim Kurulu Üyelerine ait Bilgiler (Pay defterinde yer alan kişisel veriler)	Pay Defterinin Saklanma Zorunluluğu Sebebiyle Süresiz	6102 Sayılı Türk Ticaret Kanunu
Burs ödemesi / Çalışan Avans Ödemesi	10 Yıl	6102 Sayılı Türk Ticaret Kanunu
İş Başvurusu/Staj Başvurusu/ Başvuru Kabul Edilmediği Takdirde Aday Başvurularına İlişkin Veriler (Örn: CV, Özgeçmiş, Cover Letter, Başvuru Formu)	1 Yıl	Sektörel teamüller geçerli.
Sendikal Faaliyetler Uyarınca İşlenen ve Sendika ile Paylaşılan Kişisel Veriler	10 Yıl	6356 Sayılı Sendikalar ve Toplu İş Sözleşmesi
Çalışanlara Yönelik Kurumsal İletişim Faaliyetleri Uyarınca İşlenen Veriler (Örn: Katılımcı Listesi)	İş İlişkisinin sona ermesinden itibaren 10 Yıl	Sektörel Teamül
Çalışan Memnuniyet Anketlerine İlişkin Veriler	Anketin doldurulduğu yılın sona ermesine müteakiben 1 Yıl	Sektörel Teamül
Şirket Faaliyetleri Uyarınca, Saklanması Gereken Ticari Defterler, Ticari Defterlerde Yer Alan Kayıtlara Dayanarak Oluşturulan Belgeler, Finansal Tablolar İşlenen Kişisel Veriler	10 Yıl	6102 sayılı Türk Ticaret Kanunu
Genel Kurul İşlemleri Uyarınca İşlenen Veriler	10 Yıl	6102 sayılı Türk Ticaret Kanunu
Şirketin Taraf Olduğu Sözleşmelerin Kurulması ve İçeriğine İlişkin Kişisel Veriler	10 Yıl	6102 sayılı Türk Ticaret Kanunu
Tüketicinin Bilgilendirilmesine ve Cayma Hakkını Kullanabilmesine İlişkin Sesli Veya Elektronik Ortamdaki Bilgiler	3 Yıl	27866 Sayılı Resmi Gazetede Yayınlanan Mesafeli Sözleşmelere Dair Yönetmelik
Mal ve Hizmetleri Tanıtmak, Pazarlamak, İşletmesini Tanıtmak ya da Kutlama ve Temenni gibi İçeriklerle Tanınırlığı Artırmak Amacıyla Alıcıların Elektronik İletişim Adreslerine Gönderilen Ticari Elektronik İletilere İlişkin Onay Kayıtları	1 Yıl	29417 Sayılı 15.07.2015 Tarihli Resmi Gazetede Yayınlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında yönetmelik
Mal ve Hizmetleri Tanıtmak, Pazarlamak, İşletmesini Tanıtmak ya da Kutlama ve Temenni gibi İçeriklerle Tanınırlığı Artırmak Amacıyla Alıcıların Elektronik İletişim Adreslerine Gönderilen Ticari Elektronik İletilere İlişkin Onay Kayıtları Dışındaki Veriler	1 Yıl	29417 Sayılı 15.07.2015 Tarihli Resmi Gazetede Yayınlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında yönetmelik
Sözleşmeden Kaynaklı İlişkilerde İşlenen Kişisel Veriler (Örn: Şirket Yetkilisi, Ad Soyad, imza sirküleri)	Sözleşmenin Sona Ermesine Müteakip 10 Yıl	6098 Sayılı Türk Borçlar Kanunu
Vergisel Kayıtlara İlişkin Kişisel Veriler	5 Yıl	213 Sayılı Vergi Usul Kanunu
Fatura/Gider Pusulası/Makbuz gibi Vergi Usul Kanunu Uyarınca Tutulması gereken Belgelerle işlenen Kişisel Veriler	5 Yıl	213 Sayılı Vergi Usul Kanunu
Ziyaretçilerin Kişisel Verileri	2 Yıl	5651 Sayılı Kanun (Şirketin Wi-Fi Ağına Erişim Sağlayan Ziyaretçiler İçin)
CCTV Kameraları Uyarınca Güvenlik Amaçlı Olarak İşlenen Kişisel Veriler (Kamera Kayıtları)	90 Gün	Sektörel Teamül
Çalışanların Kişisel Verilerinin Yer Aldığı Ortamlara İlişkin Yaptığı Erişimlerin Log Kayıtları	En Az 2 Yıl Olmak Suretiyle İş Davalarına Konu Olabilmesi Sebebiyle 10 Yıl	5651 Sayılı Kanun Gereği ve TİB (Telekomünikasyon İletişim Başkanlığı) Yönetmelikleri
Şirket İnternet Ağının Kullanılması, İnternet Giriş ve Uzaktan Bağlantı esnasında İşlenen Trafik Bilgileri (Örn: IP adres, verilen hizmetin başlama ve bitiş zamanı, yararlanılan hizmetin türü, aktarılan veri miktarı ve varsa abone kimlik bilgileri)	2 Yıl	5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
6502 Sayılı Tüketicinin Korunması Hakkında Kanun Gereğince Satış Sonrası Hizmet Verilmesinin Zorunlu Olması Sebebiyle İşlenen Kişisel Veriler (Örn: Ürün kurulum tarihi, müşteri iletişim bilgileri)	15 Yıl	6502 Sayılı Tüketicinin Korunması Hakkında Kanun, 13.06.2014 Tarih ve 29029 Sayılı Resmi Gazetede Yayınlanan Satış Sonrası Hizmetler Yönetmeliği
Müşteri Bilgilerinden, TTK 82. Maddesi Uyarınca ticari defter ve kayıtlara dayanak teşkil eden faturaların düzenlenmesine ilişkin kişisel veriler	10 Yıl	6102 Sayılı Türk Ticaret Kanunu
Müşteri İşlem Bilgileri (Müşterilerin Talep/Şikayet/önerilerine İlişkin Çağrı Kayıtları)	10 Yıl	6098 Sayılı Türk Borçlar Kanunu
Potansiyel Müşterilere İlişkin Veriler (Örn: cookies, çerezler, linkedin üzerinden profillemeye ilişkin veriler)	13 Ay	Avrupa Birliği / Sektörel Teamül Uygulaması
Ölmüş Bir Kişinin Kişisel Verileri	En Az 20 Yıl	21.06.2018 Tarih ve 30808 Sayılı Resmi Gazetede yayınlan Kişisel Sağlık verileri Hakkında Yönetmelik

PERİYODİK İMHA SÜRESİ

Yönetmeliğin 11 inci maddesi gereğince Şirket, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, Şirket her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.

YÜRÜRLÜK

İşbu Politika tüm çalışanlara duyurularak yürürlüğe girecek ve yürürlüğü itibariyle tüm iş birimleri, danışmanlar, dış hizmet sağlayıcıları ve kişisel veri işleyen herkes için bağlayıcı olacaktır.

• Çalışanların politikanın gereklerini yerine getirip getirmediğinin takibi ilgili çalışanların amirlerinin sorumluluğunda olacaktır. Politikaya aykırı davranış tespit edildiğinde derhal ilgili çalışanın amiri tarafından bağlı bulunan bir üst amire bildirilecektir.

• Politikaya aykırı davranan çalışan hakkında, İnsan Kaynakları tarafından yapılacak değerlendirme sonrasında gerekli idari işlem yapılacaktır.

Tüm Sayfalar